Site do LinkedIn tem vulnerabilidade de segurança--especialista

segunda-feira, 23 de maio de 2011 09:50 BRT
 

Por Jim Finkle

BOSTON, Estados Unidos (Reuters) - O site de redes sociais para profissionais LinkedIn apresenta falhas de segurança que tornam as contas de seus usuários vulneráveis a ataques de hackers, os quais poderiam conseguir invasões sem nem mesmo precisar de senhas, de acordo com o pesquisador de segurança que identificou o problema.

Notícias sobre essas vulnerabilidades surgiram no final de semana, apenas alguns dias depois que a LinkedIn fez sua oferta pública inicial de ações, na semana passada, com alta de mais de 100 por cento em sua cotação de abertura, o que evocou lembranças do boom de investimento na Internet do final dos anos de 1990.

Rishi Narang, um pesquisador independente de segurança na Internet que trabalha perto de Nova Délhi, na Índia, e descobriu a falha, disse à Reuters no domingo que o problema está relacionado à maneira pela qual o LinkedIn administra um tipo comumente usado de arquivo de dados conhecido como cookie.

Depois que um usuário insere seu nome e senha para acesso a uma conta, o LinkedIn cria o cookie "LEO_AUTH_TOKEN" no computador do usuário, que serve como chave para acesso à senha.

Muitos sites usam cookies, mas o que torna incomum o do LinkedIn é que ele só expira um ano depois de sua data de criação, disse Narang.

Ele expôs a vulnerabilidade em detalhes em um texto no seu blog (www.wtfuzz.com), no sábado.

A maioria dos sites comerciais em geral usa cookies de acesso que expiram em 24 horas ou menos, se o usuário fizer log off antes do final desse prazo, disse Narang.

Há outras exceções, como os sites de bancos, cujos cookies em geral expiram depois de cinco ou 10 minutos de inatividade. O Google oferece aos usuários o uso de cookies que permite que passem diversas semanas conectados, mas permite que o usuário decida primeiro.

A longa duração do cookie do LinkedIn significa que qualquer pessoa que obtenha o arquivo pode carregá-lo em seu computador e ganhar acesso à conta do usuário por até um ano.

A empresa divulgou comunicado informando que já está tomando providências para proteger as contas de seus usuários.